SGSI 07
Páginas: 5 (1232 palabras)
Publicado: 10 de noviembre de 2013
SGSI 07 Activo de Seguridad de la información
Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio.
El objetivo del sistema de gestión de seguridad de la información es la protección de los activos (información)
Tipos de activos según la metodología de Magerit, encontramos los siguientes tipos:
1.-Servicios: los procesos de negocio de la organización (caso de la gestión de nómina)
2.- Datos e información que se manipula dentro de la organización suelen ser el núcleo del sistema
3.- Aplicaciones de software
4.- Equipos informáticos
5.- Personal, activo principal incluye personal interno, clientes, etc…
6.- Redes de comunicaciones, dan soporte a la organización para el movimiento dela información, redes propias o subcontratadas
7.- Soportes de información, permiten el almacenamiento de la información por un largo periodo de tiempo
8.- Equipamiento auxiliar, da soporte a los sistemas de información
9.- Instalaciones: oficinas, edificios y vehículos donde se alojan los sistemas de información.
10.- Intangible: imagen y reputación de la empresa
Se debe identificar losactivos de seguridad de información, elaborando un inventario que los identifique y clasifique, incluyendo descripción, localización y propietario, el propietario debe ser quien defina el grado de seguridad que requiere el activo no necesariamente debe ser el usuario
Una vez identificados los activos se debe realizar un análisis de las dependencias existentes entre ellos haciéndose preguntas como¿Quién depende de quién?, ¿si hay un fallo en el activo y que otros activos se ven perjudicados?
Valoración de los activos, en función de la relevancia que tenga para el negocio y el impacto que una incidencia sobre el mismo pueda causar a la entidad, valoración cuantitativa estima valor económico del activo o cualitativa por medio de una escala del 0 al 10 o bajo, medio, alto.
Las característicasde la información son integridad, confidencialidad y disponibilidad, métodos utilizados la entrevista y la encuesta, se debe escoger a un grupo del personal quienes representaran a todas las áreas del alcance del sistema de gestión de la seguridad de la información
SGSI 08 Análisis y valoración de riesgos
Riesgo, estimación del grado de exposición de un activo a que una amenaza sematerialice sobre el causando daños a la organización.
Amenaza, son los eventos que pueden desencadenar un incidente produciendo daños materiales o inmateriales en los activos
Vulnerabilidades, son las debilidades que tienen los activos o grupos de activos que pueden ser aprovechadas por una amenaza
Impacto, consecuencia de la materialización de una amenaza sobre un activo
Riesgo intrínseco,posibilidad que se produzca un impacto determinado en un activo
Salvaguarda, procedimientos o mecanismos que reducen el riesgo, disminuyen el impacto o probabilidad.
Riesgo residual, riesgo que queda tras la aplicación de salvaguardas, es imposible eliminar el riesgo en un 100%
Análisis de riesgo, consiste en identificar los riesgos de seguridad en nuestra empresa, determinar la magnitud eidentificar las áreas que requieren implementar salvaguardas
El análisis de riesgos tiene que cubrir las necesidades de seguridad de la empresa teniendo siempre en cuenta los recursos humanos y económicos con los que esta cuenta.
La inversión en seguridad debe ser proporcional al riesgo
El análisis de riesgo se basa en el inventario, luego se identifica las amenazas que pueden afectar a estos activos,valoración en función del impacto que la amenaza puede causarle en el caso de que se materialice, análisis de las vulnerabilidades de los activos y se valoraran los mismos, análisis de salvaguardas medidas de seguridad ya implementadas por la organización
Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la...
Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio.
El objetivo del sistema de gestión de seguridad de la información es la protección de los activos (información)
Tipos de activos según la metodología de Magerit, encontramos los siguientes tipos:
1.-Servicios: los procesos de negocio de la organización (caso de la gestión de nómina)
2.- Datos e información que se manipula dentro de la organización suelen ser el núcleo del sistema
3.- Aplicaciones de software
4.- Equipos informáticos
5.- Personal, activo principal incluye personal interno, clientes, etc…
6.- Redes de comunicaciones, dan soporte a la organización para el movimiento dela información, redes propias o subcontratadas
7.- Soportes de información, permiten el almacenamiento de la información por un largo periodo de tiempo
8.- Equipamiento auxiliar, da soporte a los sistemas de información
9.- Instalaciones: oficinas, edificios y vehículos donde se alojan los sistemas de información.
10.- Intangible: imagen y reputación de la empresa
Se debe identificar losactivos de seguridad de información, elaborando un inventario que los identifique y clasifique, incluyendo descripción, localización y propietario, el propietario debe ser quien defina el grado de seguridad que requiere el activo no necesariamente debe ser el usuario
Una vez identificados los activos se debe realizar un análisis de las dependencias existentes entre ellos haciéndose preguntas como¿Quién depende de quién?, ¿si hay un fallo en el activo y que otros activos se ven perjudicados?
Valoración de los activos, en función de la relevancia que tenga para el negocio y el impacto que una incidencia sobre el mismo pueda causar a la entidad, valoración cuantitativa estima valor económico del activo o cualitativa por medio de una escala del 0 al 10 o bajo, medio, alto.
Las característicasde la información son integridad, confidencialidad y disponibilidad, métodos utilizados la entrevista y la encuesta, se debe escoger a un grupo del personal quienes representaran a todas las áreas del alcance del sistema de gestión de la seguridad de la información
SGSI 08 Análisis y valoración de riesgos
Riesgo, estimación del grado de exposición de un activo a que una amenaza sematerialice sobre el causando daños a la organización.
Amenaza, son los eventos que pueden desencadenar un incidente produciendo daños materiales o inmateriales en los activos
Vulnerabilidades, son las debilidades que tienen los activos o grupos de activos que pueden ser aprovechadas por una amenaza
Impacto, consecuencia de la materialización de una amenaza sobre un activo
Riesgo intrínseco,posibilidad que se produzca un impacto determinado en un activo
Salvaguarda, procedimientos o mecanismos que reducen el riesgo, disminuyen el impacto o probabilidad.
Riesgo residual, riesgo que queda tras la aplicación de salvaguardas, es imposible eliminar el riesgo en un 100%
Análisis de riesgo, consiste en identificar los riesgos de seguridad en nuestra empresa, determinar la magnitud eidentificar las áreas que requieren implementar salvaguardas
El análisis de riesgos tiene que cubrir las necesidades de seguridad de la empresa teniendo siempre en cuenta los recursos humanos y económicos con los que esta cuenta.
La inversión en seguridad debe ser proporcional al riesgo
El análisis de riesgo se basa en el inventario, luego se identifica las amenazas que pueden afectar a estos activos,valoración en función del impacto que la amenaza puede causarle en el caso de que se materialice, análisis de las vulnerabilidades de los activos y se valoraran los mismos, análisis de salvaguardas medidas de seguridad ya implementadas por la organización
Si un activo está expuesto a una amenaza pero no tiene una vulnerabilidad que le permita manifestarse, el riesgo es menor que si existe la...
Leer documento completo
Regístrate para leer el documento completo.